C’est quoi une AIPD ?
L’AIPD est un outil qui permet de mettre en œuvre des traitements de données respectueux de la vie privée et conformes au RGPD. Elle concerne principalement les traitements de données à caractère personnel qui sont susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes concernées, mais peut être mise en œuvre pour tout traitement
En d’autres termes, l’AIPD est un document étudiant le traitement et ses finalités, sa proportionnalité et sa nécessité, ainsi que les risques pour les droits et libertés des personnes concernées. Après avoir déterminé les risques, des mesures permettant de les diminuer sont envisagées.
En résumé, une question doit être posée systématiquement : quels sont les risques pour les personnes si le traitement est mis en œuvre dans les conditions actuelles ?
Par exemple, un hôpital qui ne s’est pas préoccupé de la sécurité des dossiers médicaux expose ses patients aux risques que leurs données soient altérées, détruites et/ou perdues. Si les données sont modifiées ou détruites, des opérations vitales pourraient être reportées (entrainant un risque grave, voire plus, sur les patients), de mauvais traitements pourraient être administrés, … Ainsi, la réalisation d’une AIPD aurait permis de lister les mesures déjà en place, proposer les mesures complémentaires à mettre en œuvre et de déterminer si l’ensemble de ces mesures aurait suffi à protéger les personnes au regard des risques inhérents au traitement.
L’AIPD est donc le pendant de la violation de données : qui dit identification et analyse des risques, dit prévention et réduction de ceux-ci (par exemple par la mise en place de mesures de sécurité adaptées). Les éventuels accès illégitimes aux données, modifications ou pertes/destructions de données s’en trouvent ainsi réduits.
Inversement, en cas de violation de données, le réflexe devrait être de consulter l’AIPD qui a (peut-être) été réalisée :
• Est-ce que l’incident qui vient de se produire avait été prévu ? Dans le cas contraire, mettre à jour l’AIPD afin de prendre en compte les conséquences de la violation et éviter que le risque identifié se reproduise.
• Pourquoi la mesure de traitement du risque n’a pas permis d’éviter la violation ?
Ainsi, le but n’est pas de réaliser une AIPD alibi, mais de réaliser une telle analyse afin de limiter les potentiels impacts sur les droits et libertés des personnes.
Pourquoi réaliser une AIPD ?
1/ Respecter la réglementation.
En effet, le RGPD dispose qu’une AIPD doit être menée quand le traitement est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées », et en particulier dans trois cas (article 35) :
• L’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire ;
• Le traitement à grande échelle de catégories particulières de données visées à l’article 9, paragraphe 1, ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10 ;
• La surveillance systématique à grande échelle d’une zone accessible au public.
À ces cas, s’ajoutent les neuf critères énoncés par le « G29 », devenu Comité Européen à la Protection des Données, pour lesquels il est considéré que, si un traitement remplit au moins deux d’entre eux, une AIPD est par principe requise :
• Évaluation ou notation ;
• Prise de décision automatisée avec effet juridique ou effet similaire significatif ;
• Surveillance systématique ;
• Données sensibles ou données à caractère hautement personnel (catégories de données listées à l’article 9 et données à caractère personnel relatives aux condamnations pénales ou aux infractions visées à l’article 10) ;
• Données traitées à grande échelle ;
• Croisement ou combinaison d’ensemble de données ;
• Données concernant des personnes vulnérables (enfants, salariés, patients, personnes âgées, demandeurs d’asile, etc.) ;
• Utilisation innovante ou application de nouvelles solutions technologiques ou organisationnelles ;
• Traitements en eux-mêmes qui empêchent les personnes concernées d’exercer un droit ou de bénéficier d’un service ou d’un contrat.
N.B. : si vous estimez que le traitement est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées » bien que celui-ci ne remplit pas au moins deux critères sur les neuf listés, il conviendra tout de même de réaliser une AIPD. A contrario, si le traitement remplit au moins deux des critères listés ci-dessus mais est considéré comme non susceptible d’engendrer un risque élevé pour les droits et libertés des personnes, le Responsable de traitement peut décider de ne pas réaliser une AIPD, décision qui devra être documentée.
Enfin, la CNIL a listé les traitements pour lesquels une AIPD doit être obligatoirement menée. Par exemple, tel doit être le cas pour les traitements ayant pour finalité de surveiller de manière constante l’activité des employés concernés.
En l’absence de réalisation d’une AIPD alors qu’une telle analyse aurait dû être menée, une amende administrative pouvant s’élever jusqu’à 10 Millions d’euros ou, dans le cas d’une entreprise, jusqu’à 2% du chiffre d’affaires annuel mondial total de l’exercice précédent (le montant le plus élevé étant retenu) pourra être prononcée.
2/ Protéger les droits et libertés des personnes.
Mener une AIPD est effectivement essentiel afin de permettre à chaque individu de conserver le contrôle sur ses données à caractère personnel. Dans un monde où la donnée est devenue la matière première du business, il est crucial de garantir que ces informations ne soient pas utilisées de manière abusive, intrusive ou non consensuelle. Cette démarche d’engagement sérieux à respecter la vie privée des personnes permet de renforcer la confiance des personnes envers les entreprises. L’image des entreprises s’en trouve ainsi également préservée, positionnant les entreprises comme responsables et transparentes lorsqu’il est question des droits et libertés de leurs clients, collaborateurs, partenaires, … – un véritable atout concurrentiel !
3/ Identifier et anticiper les risques.
Réaliser une AIPD incite les entreprises à analyser en profondeur leur gestion des données à caractère personnel, offrant ainsi une vision précise des traitements. Cet outil ouvre donc la voie à une optimisation des processus internes, une gouvernance efficace, un suivi constant et un pilotage de la conformité. En identifiant et atténuant les risques avant la mise en œuvre d’un traitement, les violations de données et les coûts associés se trouvent limités, et la réactivité accrue grâce aux mesures prévues pour gérer une violation.
En résumé, une AIPD bien réalisée c’est :
• Garantir la conformité ;
• Se soucier de ses clients, utilisateurs, collaborateurs, … ;
• Prévenir et préparer la survenance de risques.
Comment mener une AIPD ?
Avant de se questionner sur la manière de réaliser une AIPD, il faut d’abord se demander qui doit la mener. Bien que dans la pratique il est fréquent de voir le DPO prendre en charge cette tâche, le RGPD dispose que celle-ci incombe bien au Responsable de traitement, conseillé par le DPO.
En effet, malgré l’expertise du DPO en matière de protection des données, celui-ci est rarement au cœur des activités métier et est donc moins à même d’évaluer le risque ou déterminer les scenarii menant à des évènements indésirables, contrairement aux métiers.
Le DPO doit bien entendu être sollicité afin de conseiller les métiers (ce qui est prévu par le RGPD aux articles 35 et 39 §1.c), voire piloter l’AIPD, mais ne devrait pas la réaliser. Cependant, bien que le RGPD dispose que le DPO a une mission d’information et de conseil en ce qui concerne les traitements déjà mis en place (article 39 §1.a), nous considérons qu’il est évident que le DPO conseille de sa propre initiative le Responsable de traitement à propos des AIPD, c’est-à-dire sans que celui-ci ne soit nécessairement sollicité par le Responsable de traitement.
Dans le cadre de nos missions de DPO externe, nous indiquons à nos clients qu’il n’est pas idéal que le DPO réalise les AIPD, tout en prenant notre part. Nous proposons des formations sur mesure pour les accompagner, nous pouvons les aider à la réalisation de la première mais trouvons plus cohérent de ne pas les réaliser. Lorsque nous les réalisons tout de même, c’est avec des rendez-vous avec les métiers (qui doivent se positionner) et la DSI et/ou le RSSI. Nous proposons également d’accompagner les DPO ou entreprises pour lesquelles nous ne sommes pas DPO, et de réaliser des AIPD sur la base du même principe.
À propos du contenu de l’AIPD, les étapes nécessaires à sa réalisation sont les suivantes, selon le Guide PIA 1 de la CNIL :
• Délimiter et décrire le contexte du (des) traitement(s) considéré(s) ;
• Analyser les mesures garantissant le respect des principes fondamentaux : la proportionnalité et la nécessité du traitement, et la protection des droits des personnes concernées ;
• Apprécier les risques sur la vie privée liés à la sécurité des données et vérifier qu’ils sont convenablement traités ;
• Formaliser la validation de l’AIPD au regard des éléments précédents ou bien décider de réviser les étapes précédentes.
Ainsi expliquée, la réalisation d’une AIPD semble plutôt simple, mais ce n’est qu’une apparence.
En effet, les systèmes des entreprises, la cartographie et le cycle des données sont parfois difficiles à appréhender. L’identification des risques demeure également un exercice complexe, car il faut anticiper des scenarii et intégrer des éléments parfois compliqués à percevoir. La collecte exhaustive des informations nécessaires, y compris auprès des sous-traitants, couplée à la collaboration interdisciplinaire au sein des entreprises, peut constituer un autre frein. L’évaluation des mesures de sécurité à mettre en place représente également un obstacle supplémentaire. Enfin, il faut constamment trouver un équilibre entre la protection des données et les exigences d’innovation.
Chaque AIPD est donc unique ! Par conséquent, réaliser une AIPD pourrait tant s’étendre sur 3 jours que plusieurs semaines, selon le traitement, la complexité, les mesures de sécurité à mettre en place, si l’AIPD est réalisée en interne ou avec l’aide d’un prestataire, …
Par principe, l’AIPD doit être menée avant la mise en œuvre du traitement, le plus en amont possible. Elle doit être revue de manière régulière, en tout état de cause tous les trois ans (Délibération n° 2018-326 de la CNIL), ou lorsqu’un changement intervient dans les risques présentés par le traitement, pour s’assurer que le niveau de risque reste acceptable (Lignes directrices WP248 du G29).
Il est à noter qu’aucun outil n’est imposé pour la réalisation des AIPD. Toutefois, après avoir expérimenté l’outil PIA de la CNIL, ANAXIA CONSEIL a créé son outil personnalisé, qui se veut pragmatique et en constante évolution afin de permettre la réalisation d’AIPD sur-mesure et concrètes.
ANAXIA CONSEIL a également développé sa propre méthodologie de réalisation des AIPD, reprenant les phases suivantes :
• Échanges en amont ;
• Visio de préparation avec tous les acteurs ;
• Questionnaires ;
• Intervention in situ (métiers, DSI, prestataires, etc.) ;
• Finalisation/rédaction ;
• Validation.
L’approche retenue doit dans tous les cas garantir une conformité optimale à la réglementation en matière de protection des données, et offrir un soutien adapté à chaque étape de la démarche de mise en conformité.
AIPD et intelligence artificielle : incompatibilité ou complémentarité ?
L’intelligence artificielle est actuellement au cœur des discussions et ne peut être ignorée dans la réalisation d’une AIPD au regard des risques qu’elle implique. Il est en effet fondamental de tenir compte de ce paramètre et, dans certains cas, de réaliser une « analyse d’impact des systèmes d’IA à haut risque sur les droits fondamentaux », conformément à l’article 27 de l’AI Act.
À ce titre, nous recommandons vivement d’adopter une approche unifiée lorsqu’il s’agit de mener une AIPD en lien avec l’intelligence artificielle. En combinant les critères de l’AIPD avec ceux de l’analyse d’impact imposée par l’AI Act, vous permettez de répondre non seulement aux exigences en matière de protection des données, mais aussi aux nouvelles exigences spécifiques liées à l’IA. Une solution complète pour anticiper les risques et garantir la conformité de vos projets IA en toute sérénité !
Emma FRANCE • Consultante ANAXIA CONSEIL
ANAXIA CONSEIL
